7 Typische Fehler bei der Admin-CMS
Veröffentlicht: 6. Februar 2011Tags: CMS , Content-Material-Management-System , interne Hacker- , Internet-Hosting , Malware , PHP , Plugins , Web-Hosting
CMS (Content-Brief für Material-Management-System) ist wirklich eine extrem beliebte Stück Software-Programm für den Betrieb von Blogs, private Seiten, Unternehmens-Websites und alle anderen Arten von Websites, die Sie in der Lage, aus. CMS glauben, sind ziemlich einfach zu nutzen machen und dies ist ein wesentlicher Grund, warum sie so geworden sind sehr beliebt.
Dennoch, einfach zu nutzen und zu sichern sind definitiv nicht als Synonyme CMS betroffen sind. Obwohl die meisten der Top-CMS nicht brauchen viel Aufwand zu erstellen sie extrem sicher ist es nicht ungewöhnlich, CMS mit Sicherheit aus der richtigen bestimmen. Solche CMS sind einfache Ziele für Hacker.
Wenn ein CMS gehackt wird, in der Regel die Ursache dafür ist nicht, dass das CMS selbst unsicher ist, aber die Hacker nahm zugunsten von einigen typischen Admin-Fehler. Die Liste der Admin-Fehler ist ziemlich langwierig, aber nicht überraschend, ist die Vielfalt der wohl das typischste diejenigen wirklich eine einzelne Ziffer. Hier sind ein paar von diesen Fehlern müssen Sie wissen, und beileibe nicht im CMS verwalten Sie:
1. Standard-Passwörter
Zu den ersten Dingen Hackern zu überprüfen, sobald sie angreifen Strategie ist für "einfache Passwörter". Standard-Passwörter (dh die Passwörter, die gemeinsam mit der Installation kommen) sind einfach zu suchen. Es ist richtig, dass zahlreiche CMS beinhalten nicht ein Standard-Passwort, auch wenn sie es tun, die Installation wird Sie verändern Ihr Passwort vor du bist in der Lage, das Software-Programm verwenden, aber wenn Ihr CMS kommt mit einem Standard-Passwort, seien Sie sicher, dass Sie verändern es. Auch sicher sein, dass Sie das Kennwort für die Datenbank zu verändern auch einfach, weil die Datenbank ist auch ein Ziel für Hacker.
2. Leere Kennwörter
Zusätzlich zur Standard-Passwörter, sind leere Kennwörter zusätzlich typische Fehler Admins machen (wenn das CMS erlaubt es ihnen einfach, weil zum Glück zahlreiche CMS erlauben keine leeren Kennwörtern). Es ist nicht wichtig, anzugeben, wie riskant leere Kennwörter sind - sie brauchen kein Raten überhaupt hacken und ein CMS mit einem leeren Passwort ist nur ein Stück Kuchen für einen Anfänger. Alles was es benötigt würde, um den Benutzernamen erraten - wenn der Benutzername lautet "admin", "Administrator" oder etwas, was vergleichbar ist, dann bricht in Ihr CMS ist wirklich eine Sache von Sekunden.
Wie bei den Standard-Passwörter, ist die Gefahr größer, wenn das Admin-Konto betroffen ist, aber es gibt keinen Grund zur Nicht-Admin-Benutzer, die Zugriff auf die Datenbank bereits in leere Kennwörter ermöglichen. Deshalb ist es sinnvoll, strenge Richtlinien für Passwörter für alle zu erzwingen.
3. Keine Patches installiert
Es ist richtig, dass die Installation zig Patches jeder Tag ist langweilig, aber für den Fall, Sie nicht aufpassen (mindestens) die wichtige Updates und installieren Sie diese nicht rechtzeitig, dies ist eine Einladung für Hacker ist. Hacker überwachen Berichte für neue Schwachstellen und hängen von der Realität, dass der Administrator nicht installieren Sie die Patches sofort.
Tatsächlich treten zahlreiche Hacks nur innerhalb des Zeitraums zwischen einer Schwachstelle gemeldet wird und auch der Admin installiert den Patch. Deshalb ist es unerlässlich ist, um Patches schnell und manuell installieren. Automatische Installation ist einfacher, aber so ungewöhnlich, weil es klingen mag, es könnte alles noch schlimmer machen - also brechen Ihr CMS. Man muss die Patches manuell zu installieren, um sicherzustellen, dass Sie genau wissen, was installiert wurde.
4. PHP register_globals
Wenn Ihr CMS in PHP geschrieben ist und auch Sie werden die mit PHP arbeiten fünf oder früher, viel mehr ein Faktor, sollten Sie überprüfen richtige weg ist, wenn register_globals aktiviert ist. Wenn register_globals aktiviert ist, müssen Sie es sofort ausschalten, nur weil, wenn sie an ist, Millionen von Methoden, bei denen dies missbraucht werden könnten, um Ihre Website zu hacken finden. Für zahlreiche CMS Diese Variable ist standardmäßig ausgeschaltet, aber Sie können nicht auf, dass abhängig - man muss sie manuell zu überprüfen.
Innerhalb der ungewöhnlichen Situation, wann immer Sie Plugins oder andere Funktionalität, die nicht funktionieren kann, wenn register_globals ausgeschaltet haben, ist es ein Klacks, was zu vervollständigen - nur beseitigen Sie diese Plugins / Funktionalität einfach, denn dies ist viel weniger ein Opfer als mit register_globals auf.
5. Unsichere Internet-Hosting
Unsichere Internet-Hosting ist eine der besten Gefahr für die Sicherheit des eigenen CMS. Sicherheitslücken im Betriebssystem-Programm und auch die anderen Software-Programm, das in Ihrem Internet-Host installiert ist, sind ebenfalls förderfähig bevorzugte Ziele von Hackern und auch das Schlimmste ist die Tatsache, dass, wenn Ihr Internet-Host ist unsicher, es gibt nicht viel Sie als Admin von ein CMS tun können, um dem entgegenzuwirken. Sie können nicht beheben Sie die Löcher in der Sicherheit des eigenen Internet-Hosting-Anbieter und auch der einzige Faktor, den Sie tun können, ist zu einem viel besseren Internet-Host zu entkommen.
6. Großzügige User-Privilegien
Sie werden wohl kaum eine Admins (in der richtigen Gedanken), der Admin-Rechte für den normalen Benutzer geben, aber es gibt nicht so, dass einige Admins, die wirklich großzügig sind, wenn Benutzerrechte betroffen sind. Zu den wichtigsten Sicherheits-Richtlinien wird das Least Privilege Regel sein - also den Benutzern nur Zugang zu diesen Komponenten der Website haben sie wirklich zu haben, um der Lage sein, ihren Job zu machen. Zu den Risiken der großzügigen Benutzerrechte, ist die Tatsache, dass die Anmeldeinformationen für die interne Hacker, die kleiner ist kein Problem, als externen Hack-Angriffe verwendet werden könnten.
7. Unsichere Plugins
Hacker können nicht über die vordere Tür des eigenen CMS eingeben, aber wenn die anderen Türen geöffnet sind, sie benötigen keine Backdoors (dh Malware) den Zugriff auf Ihre Website zu erwerben. Nahezu jede CMS basiert auf Plugins, um zusätzliche Funktionalität bieten, und dies wird der Charme des CMS sein, nur weil Sie eine Basis-Installation und bekommen auch Sie haben die Freiheit, nur die Funktionalität, die Sie benötigen, aber diese Freiheit ist auch eine Bedrohung der Sicherheit werde hinzuzufügen.
In der Regel sind Plugins von Drittanbietern erstellt und es ist nicht recht klar, wenn sie konsequent sind getestet. Extrem häufig Plugins haben Sicherheitslücken in ihnen und Hacker freuen sich, die meisten von solchen Sicherheitslücken machen. Der weiseste Sie sind in der Lage zu tun ist, beseitigen Sie alle Plugins mit anerkannten Sicherheitsprobleme. Es ist viel viel besser, nicht um eine bestimmte Funktionalität als um die Sicherheit der eigenen gesamten Website unter Bedrohung stellen müssen.
